NIS2 nadciąga: Jakie zmiany w polskim cyberbezpieczeństwie i kto musi się przygotować?

3 kwietnia 2026 r. wchodzi w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wdraża unijną dyrektywę NIS2. Przepisy te obejmą znacznie szersze grono firm i instytucji – od kilkunastu do kilkudziesięciu tysięcy. Nowe wymogi kładą nacisk na odpowiedzialność organów zarządzających, a nie tylko działów IT. Niedopełnienie tych obowiązków może skutkować karami finansowymi sięgającymi nawet 10 milionów euro (egzekwowanymi od kwietnia 2028 r.). Poniżej znajdziesz praktyczne wskazówki dotyczące tego, kogo dotyczą nowe regulacje, jakie działania należy podjąć i w jakich terminach.

Co to jest dyrektywa NIS2 i jakie zmiany wprowadza w polskim prawie?

Dyrektywa NIS2 stanowi rozwinięcie wcześniejszej dyrektywy NIS z 2016 roku. Poprzedni akt prawny okazał się zbyt wąski w swoim zakresie i był różnie interpretowany przez poszczególne państwa członkowskie, co prowadziło do nierównego poziomu ochrony cyberbezpieczeństwa na jednolitym rynku cyfrowym UE.

Nowa dyrektywa ujednolica minimalne standardy bezpieczeństwa w całej Unii Europejskiej. Obejmuje ona więcej sektorów i podmiotów, a co najważniejsze – jasno przypisuje odpowiedzialność za cyberbezpieczeństwo organom zarządzającym, a nie wyłącznie działom IT. Polska wdrożyła dyrektywę z pewnym opóźnieniem – unijny termin na transpozycję upłynął w październiku 2024 roku, a polska ustawa wchodzi w życie 3 kwietnia 2026 roku. Warto zaznaczyć, że prezydent skierował część przepisów dotyczących procedury uznawania dostawców wysokiego ryzyka do kontroli przez Trybunał Konstytucyjny, co jednak nie wstrzymuje wejścia ustawy w życie.

Do kogo skierowana jest dyrektywa NIS2 w Polsce?

Poprzednia ustawa o KSC z 2018 roku obejmowała w Polsce zaledwie kilkuset operatorów usług kluczowych, głównie z sektorów energetyki, transportu i bankowości. Znowelizowana ustawa znacząco poszerza ten zakres – szacuje się, że dotknie od kilkunastu do kilkudziesięciu tysięcy podmiotów. Ostateczna liczba będzie znana po zakończeniu procesu samoidentyfikacji i rejestracji.

Przepisy mają zastosowanie do podmiotów działających w 18 kluczowych sektorach. Do sektorów wysokiej krytyczności zaliczamy:

  • Energetykę
  • Transport
  • Bankowość i infrastrukturę rynków finansowych
  • Ochronę zdrowia
  • Gospodarkę wodno-ściekową
  • Infrastrukturę cyfrową
  • Zarządzanie usługami ICT
  • Administrację publiczną
  • Przestrzeń kosmiczną

Do sektorów krytycznych zaliczamy między innymi: usługi pocztowe, gospodarkę odpadami, produkcję i dystrybucję chemikaliów, wybrane działy przemysłu produkcyjnego, dostawców usług cyfrowych oraz wybrane organizacje badawcze.

Szczególną uwagę należy zwrócić na sektor finansowy. Banki, instytucje płatnicze i inne podmioty objęte rozporządzeniem DORA (Digital Operational Resilience Act) podlegają temu rozporządzeniu jako przepisowi szczególnemu (lex specialis) wobec NIS2. Oznacza to, że DORA ma pierwszeństwo w zakresie cyberbezpieczeństwa sektora finansowego. Ustawa o KSC może mieć zastosowanie jedynie w obszarach nieuregulowanych przez DORA. Jest to kwestia, która nadal ewoluuje w praktyce – ostateczne granice między tymi aktami prawnymi będą wypracowywane przez organy nadzoru i orzecznictwo.

Administracja publiczna została zakwalifikowana do grupy sektorów wysokiej krytyczności. Jednostki administracji centralnej i regionalnej podlegają przepisom w zależności od charakteru i zakresu realizowanych zadań. Zakres obowiązków zależy od tego, czy dana jednostka zostanie zakwalifikowana jako podmiot kluczowy czy ważny. Wiąże się to z wymogami dotyczącymi m.in. polityki zarządzania ryzykiem, planów ciągłości działania, obowiązkowych szkoleń kadry kierowniczej oraz ścisłych terminów raportowania incydentów. Ustawa przewiduje wyłączenia dla jednostek wykonujących zadania związane z bezpieczeństwem narodowym, obronnością lub egzekwowaniem prawa – podmioty z tych obszarów powinny indywidualnie zweryfikować swój status.

Kryteria wielkości różnią się w zależności od kategorii podmiotu:

  • Podmioty ważne: Zazwyczaj średnie przedsiębiorstwa, zatrudniające co najmniej 50 pracowników i osiągające roczny obrót przekraczający 10 mln euro (ok. 45 tys. PLN przy kursie 4,50 PLN/EUR) lub sumę bilansową przekraczającą 10 mln euro.
  • Podmioty kluczowe: Zazwyczaj duże przedsiębiorstwa, zatrudniające co najmniej 250 pracowników i osiągające obrót powyżej 50 mln euro (ok. 225 tys. PLN) lub sumę bilansową przekraczającą 43 mln euro (ok. 193,5 tys. PLN).

Część podmiotów kwalifikuje się do kategorii kluczowej niezależnie od wielkości. Dotyczy to m.in. kwalifikowanych dostawców usług zaufania, rejestrów domen TLD oraz dostawców usług DNS. Podmioty mniejsze niż średnie przedsiębiorstwa są co do zasady wyłączone, chyba że organ właściwy uzna je za kluczowe ze względu na ich specyficzne znaczenie systemowe.

Podmioty spełniające kryteria dzielą się na dwie kategorie:

  • Podmioty kluczowe: Podlegają aktywnemu nadzorowi, co oznacza, że organ może przeprowadzić kontrolę bez wcześniejszego incydentu.
  • Podmioty ważne: Podlegają nadzorowi reaktywnemu, czyli kontrola jest zazwyczaj wszczynana po zgłoszeniu incydentu lub otrzymaniu sygnału zewnętrznego.

Katalog obowiązków merytorycznych jest identyczny dla obu kategorii. Różnią się jednak zasady dotyczące audytów bezpieczeństwa. Podmioty kluczowe mają ustawowy obowiązek przeprowadzania regularnych audytów bezpieczeństwa na własny koszt (pierwszy w ciągu 24 miesięcy od wejścia ustawy w życie, kolejne nie rzadziej niż co 3 lata). Podmioty ważne nie mają zautomatyzowanego, cyklicznego obowiązku audytowego; audyt bezpieczeństwa przeprowadza się u nich wyłącznie na mocy decyzji administracyjnej organu nadzorczego.

Ważne: Ustawa nie przewiduje powiadomień z urzędu. Podmiot ma obowiązek samodzielnie ocenić, czy spełnia kryteria, i złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych, prowadzonego przez ministra właściwego ds. informatyzacji, za pośrednictwem systemu teleinformatycznego S46. Na złożenie wniosku jest 6 miesięcy od dnia wejścia ustawy w życie. Nadzór sektorowy sprawują organy właściwe dla danego sektora (np. dla energetyki – minister właściwy ds. energii, w finansach – Komisja Nadzoru Finansowego, w telekomunikacji – Prezes UKE). Pełny wykaz organów właściwych zawiera ustawa o KSC.

Jak NIS2 wpływa na firmy nieobjęte ustawą – łańcuch dostaw i pośrednie obowiązki dla MŚP?

Dyrektywa NIS2 wprowadza mechanizm, który pośrednio rozszerza standardy bezpieczeństwa na firmy formalnie nieobjęte ustawą. Każdy podmiot kluczowy i ważny ma ustawowy obowiązek zarządzania ryzykiem w swoim łańcuchu dostaw. Oznacza to konieczność oceny praktyk bezpieczeństwa istotnych dostawców technologii, oprogramowania i usług, proporcjonalnie do ich znaczenia dla ciągłości i bezpieczeństwa świadczonej usługi.

W praktyce duże organizacje (szpitale, banki, operatorzy energetyczni) będą zobowiązane do weryfikacji standardów cyberbezpieczeństwa u swoich kontrahentów, niezależnie od ich wielkości. Mała firma dostarczająca oprogramowanie lub usługi serwisowe musi liczyć się z tym, że jej zleceniodawca może przenieść wymogi NIS2 na nią poprzez zapisy kontraktowe. Mogą to być klauzule bezpieczeństwa, wymogi posiadania określonych certyfikatów (np. ISO 27001) lub wdrożenia konkretnych zabezpieczeń technicznych.

Niedostosowanie się do tych oczekiwań może skutkować nie tylko brakiem możliwości współpracy z kluczowymi partnerami biznesowymi, ale także stworzyć dla nich ryzyko prawne i finansowe, którego będą chcieli uniknąć. Dla takich firm brak spełnienia wymogów bezpieczeństwa może oznaczać utratę zleceń.

Jakie obowiązki nakłada NIS2 na podmioty kluczowe i ważne?

Ustawa wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) opartego na analizie ryzyka. Nie jest to jednorazowy projekt, lecz ciągły proces identyfikacji zagrożeń, wdrażania proporcjonalnych środków i ich regularnego przeglądu. Główne obowiązki obejmują:

  • Polityka zarządzania ryzykiem cyberbezpieczeństwa: Musi być udokumentowana, zatwierdzona przez organ zarządzający i cyklicznie aktualizowana.
  • Zarządzanie bezpieczeństwem w łańcuchu dostaw: Ocena ryzyk wynikających z relacji z zewnętrznymi dostawcami oprogramowania, sprzętu i usług chmurowych.
  • Plan ciągłości działania i odtwarzania po awarii: Procedury utrzymania lub przywrócenia działalności po incydencie, obejmujące zarządzanie kopiami zapasowymi i testowanie scenariuszy odtworzeniowych.
  • Bezpieczeństwo zasobów ludzkich: Procedury kontroli dostępu, zarządzania uprawnieniami oraz postępowania przy zatrudnianiu i rozwiązywaniu współpracy.
  • Stosowanie kryptografii i szyfrowania: Tam gdzie jest to uzasadnione charakterem przetwarzanych danych lub świadczonych usług.
  • Szkolenia dla organów zarządzających: Obowiązek regularnego podnoszenia kompetencji w zakresie cyberbezpieczeństwa przez członków zarządów i rad nadzorczych.

Ostatni punkt odzwierciedla kluczowe założenie dyrektywy: decyzje o poziomie inwestycji w bezpieczeństwo, akceptowalnym ryzyku i priorytetyzacji działań są decyzjami zarządczymi, a nie technicznymi. Ustawa przypisuje odpowiedzialność za wdrożenie i nadzór nad systemem cyberbezpieczeństwa organowi zarządzającemu. Wszystkie wymienione obowiązki muszą zostać wdrożone w ciągu 12 miesięcy od wejścia ustawy w życie, czyli do kwietnia 2027 roku.

Warto zaznaczyć, że dla wybranych kategorii podmiotów cyfrowych (dostawcy usług DNS, rejestry TLD, dostawcy usług chmurowych, centra danych, dostawcy CDN, zarządzane usługi bezpieczeństwa) szczegółowe wymogi techniczne i metodyczne określa bezpośrednio obowiązujące Rozporządzenie Wykonawcze Komisji (UE) 2024/2690. Obowiązuje ono te podmioty równolegle z polską ustawą o KSC.

Jak wygląda raportowanie incydentów cyberbezpieczeństwa zgodnie z NIS2?

Ustawa wprowadza ścisłe ramy czasowe dla zgłaszania poważnych incydentów cyberbezpieczeństwa. Poważny incydent to taki, który powoduje lub może spowodować istotne zakłócenie świadczonych usług lub znaczące straty finansowe. Szczegółowe progi liczbowe (np. liczba dotkniętych użytkowników, czas trwania zakłócenia, zasięg geograficzny) precyzuje wspomniane wcześniej Rozporządzenie Wykonawcze Komisji (UE) 2024/2690.

Zgłoszenia trafiają do właściwych CSIRT (sektorowych lub CSIRT GOV) za pośrednictwem systemu teleinformatycznego S46. Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe (które mają 18 miesięcy od wejścia ustawy w życie na ich powołanie), incydenty należy zgłaszać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.

Procedura raportowania przebiega w trzech etapach:

  • Do 24 godzin od powzięcia wiadomości o incydencie: wstępne ostrzeżenie. Wymagana jest podstawowa informacja o fakcie zaistnienia incydentu; pełna analiza nie jest na tym etapie wymagana.
  • Do 72 godzin: zgłoszenie incydentu zawierające wstępną ocenę jego charakteru, zasięgu, prawdopodobnych przyczyn oraz podjętych środków zaradczych.
  • Do 30 dni od zgłoszenia 72-godzinnego: sprawozdanie końcowe z pełną dokumentacją przebiegu incydentu, jego przyczyn, skutków i działań naprawczych.

Terminy biegną od chwili, gdy podmiot uzyskał wiedzę o incydencie, a nie od momentu jego zakończenia lub potwierdzenia pełnego zakresu. Opóźnienie lub zaniechanie zgłoszenia stanowi odrębne naruszenie przepisów.

Jakie kary grożą za naruszenie przepisów NIS2?

Maksymalne kary administracyjne wynoszą dla podmiotów kluczowych 10 mln euro (ok. 450 tys. PLN) lub 2% globalnego rocznego obrotu (stosuje się wyższą wartość). Dla podmiotów ważnych górna granica to 7 mln euro (ok. 315 tys. PLN) lub 1,4% obrotu.

Ustawa przewiduje również możliwość nakładania kar okresowych za każdy dzień utrzymywania się naruszenia. Odrębnny, szczególny próg dotyczy naruszeń powodujących bezpośrednie i poważne zagrożenie dla obronności lub bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego albo życia i zdrowia ludzi – w takich przypadkach kara administracyjna może sięgnąć 100 000 000 zł.

Przepisy wprowadzają także odpowiedzialność osobistą kierownictwa. W przypadku naruszenia obowiązków przez podmiot kluczowy lub ważny, organ nadzoru może nałożyć na kierownika tego podmiotu karę pieniężną do wysokości 300% jego miesięcznego wynagrodzenia. W przypadkach powtarzającego się lub rażącego naruszenia możliwe jest również czasowe zawieszenie w pełnieniu funkcji zarządczych.

Ważne: Kary pieniężne mogą być nakładane dopiero po upływie 24 miesięcy od dnia wejścia ustawy w życie, co oznacza, że faktyczne egzekwowanie sankcji finansowych może rozpocząć się najwcześniej w kwietniu 2028 roku. Nie zmienia to jednak obowiązku wdrożenia wymaganych środków bezpieczeństwa w ciągu 12 miesięcy od wejścia ustawy w życie. Moratorium nie obejmuje kar dyscyplinujących – organ nadzorczy może od razu nakładać kary od 500 zł do 100 000 zł za każdy dzień zwłoki w wykonaniu konkretnych nakazów pokontrolnych. Instrumenty nadzorcze są zatem aktywne od 3 kwietnia 2026 roku.

Kiedy należy wdrożyć NIS2 – harmonogram i terminy?

Ustawa wchodzi w życie 3 kwietnia 2026 roku. Od tej daty biegną następujące terminy dla podmiotów, które już w dniu wejścia w życie ustawy spełniają kryteria kwalifikacji:

  • 6 miesięcy na samoidentyfikację i złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych – do początku października 2026 roku.
  • 12 miesięcy na wdrożenie wymaganych środków technicznych i organizacyjnych – do kwietnia 2027 roku.
  • 24 miesiące – od tego momentu możliwe jest nakładanie kar pieniężnych za naruszenia – od kwietnia 2028 roku.

Dla podmiotów, które nabędą status kluczowego lub ważnego po dacie wejścia ustawy w życie, terminy na samoidentyfikację i wdrożenie biegną odpowiednio od dnia spełnienia kryteriów kwalifikacji.

Na co zwrócić uwagę przed terminem rejestracji?

Polisa cybernetyczna a kary NIS2: Standardowe polisy ubezpieczeniowe zazwyczaj obejmują koszty reagowania na incydenty, obsługę prawną i odszkodowania dla stron trzecich. Kary administracyjne i sankcje regulacyjne są jednak często wyłączone z ochrony lub objęte osobną klauzulą. Firmy liczące na to, że ubezpieczyciel pokryje ewentualną karę z NIS2, powinny dokładnie zweryfikować Ogólne Warunki Ubezpieczenia (OWU) przed zaistnieniem takiej potrzeby.

Dokumentacja odpowiedzialności wewnętrznej: Ustawa wskazuje organ zarządzający jako podmiot odpowiedzialny za nadzór nad systemem bezpieczeństwa. Wewnętrzna delegacja zadań na dyrektora IT czy zewnętrznego dostawcę jest dopuszczalna, ale nie przenosi odpowiedzialności prawnej. W praktyce oznacza to, że jeśli podczas kontroli nie ma dokumentu potwierdzającego zatwierdzenie polityki bezpieczeństwa przez zarząd i nadzór nad jej realizacją, delegacja zadań może okazać się niewystarczająca.

Progi w grupach kapitałowych: Progi wielkości (zarówno dla podmiotów ważnych, jak i kluczowych) są oceniane na bieżąco. Spółka, która przekroczy właściwy próg w trakcie roku obrotowego, staje się objęta przepisami od tego momentu. W dynamicznie rozwijających się grupach kapitałowych warto wprowadzić systematyczny monitoring zamiast ograniczać się do sprawdzania stanu raz w roku przy zamknięciu bilansu.

Podsumowanie

Dyrektywa NIS2 znacząco rozszerza zakres obowiązków w obszarze cyberbezpieczeństwa na znacznie szersze grono podmiotów niż dotychczasowe przepisy krajowe. Kluczowe zmiany to:

  • Rozszerzenie listy sektorów objętych regulacją.
  • Obniżenie progu wielkości dla objętych firm.
  • Przypisanie odpowiedzialności za cyberbezpieczeństwo organom zarządzającym.
  • Ujednolicenie i zaostrzenie zasad raportowania incydentów.
  • Wprowadzenie osobistej odpowiedzialności kierownictwa.

Dla organizacji, które dotychczas nie były objęte podobnymi przepisami, pierwszym krokiem jest ustalenie, czy nowe regulacje ich dotyczą. Następnie należy ocenić, które z wymaganych elementów są już wdrożone, a które wymagają uzupełnienia. Ustawa przewiduje 12-miesięczny okres na pełne dostosowanie, liczony od daty wejścia przepisów w życie.

Wyniki Biznes Fakty:

  • Zacznij od audytu: Przeprowadź szczegółową analizę obecnych zabezpieczeń i procesów, aby zidentyfikować luki w porównaniu do wymagań NIS2.
  • Zaangażuj zarząd: Upewnij się, że najwyższe kierownictwo jest świadome swoich nowych obowiązków i aktywnie uczestniczy w procesie wdrażania wymogów dyrektywy.
  • Przegląd umów z dostawcami: Zaktualizuj kontrakty z kluczowymi dostawcami, aby uwzględnić wymogi bezpieczeństwa wynikające z NIS2, minimalizując ryzyko w łańcuchu dostaw.

Więcej informacji na : mojafirma.infor.pl

No votes yet.
Please wait...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *